Apesar de a Lei Geral de Proteção de Dados Pessoais ("LGPD") ter entrado em vigor ainda em 2020, suas penalidades foram prorrogadas e entrarão em vigor apenas em agosto de 2021. Diante dessa prorrogação, que se deu por força da Lei nº 14.010/2020, algumas empresas que realizam atividades de tratamento de dados pessoais ("Agentes de Tratamento") optaram por adiar também o início de seus respectivos projetos de adequação à nova lei. Todavia, ainda que as penalidades fossem o único risco ao qual as empresas estariam sujeitas em razão da não adequação à LGPD (o que não é verdade – vide nosso artigo sobre o tema aqui), o prazo está correndo e faltam menos de 6 meses para a sua entrada em vigor.
Neste sentido, como dar início à adequação e saber se sua empresa está preparada para a entrada em vigor das penalidades da LGPD?
Essa é uma pergunta de difícil resposta. Primeiramente, ressaltamos que a LGPD é uma lei baseada em risco, sendo assim, para que o processo de adequação seja realizado de forma adequada, a empresa deverá avaliar as particularidades de sua(s) atividade(s) de tratamento de dados.
Na prática, isso significa dizer que a complexidade do projeto de adequação irá variar caso a caso, conforme o modelo de negócio e as práticas já adotadas ou a serem adotadas por cada empresa.
Um aspecto importante para a adequação à LGPD é o conhecimento pleno, pelo Agente de Tratamento, do completo "ciclo de vida" dos dados pessoais tratados por ele. Para isso, a confecção do chamado Data Mapping, que nada mais é do que um levantamento que tem como objetivo mapear os dados pessoais tratados em um negócio, é uma ação altamente recomendada. Uma vez finalizado, o Data Mapping irá proporcionar ao Agente de Tratamento uma maior e mais clara visibilidade das atividades de tratamento realizadas, permitindo, consequentemente, a criação de um programa de compliance de dados pessoais adequado ao modelo de negócios adotado pela empresa em questão.
Além disso, o Agente de Tratamento deve estar preparado para garantir a observância dos direitos concedidos, pela LGPD, aos titulares de dados pessoais ("Titulares"). Para isso, pode ser necessário, muitas das vezes, a criação de procedimentos internos e/ou a adoção de ferramentas que auxiliem o Agente de Tratamento no atendimento de tais direitos, que podem ser relativos à (i) confirmação da existência de tratamento de dados, (ii) portabilidade de dados, (iii) acesso aos dados tratados, (iv) revogação de consentimento etc.
A conscientização de funcionários também é um aspecto importante no processo de adequação à LGPD. O ser humano é quase sempre o elo mais fraco na corrente de proteção de dados, daí surgindo a necessidade de conscientizá-lo do processo de adequação e dos procedimentos e políticas internas relativas à privacidade e proteção de dados pessoais.
Resultado da pesquisa realizada pela CybSafe, indicando que, em 2019, aproximadamente 90% dos casos de vazamento de dados pessoais no Reino Unido foram causados por falha humana, evidencia esse fato.
Diante disso, apesar de algumas empresas terem optado por adiar ou pausar seus projetos de adequação à LGPD em virtude do adiamento das penalidades, cumpre esclarecer que o processo de adequação não acontece da noite para o dia. A realização do levantamento de dados pessoais e a criação e/ou adoção de procedimentos internos, são apenas alguns dos passos em direção da adequação e podem, em alguns casos, demandar vários meses de trabalho.
Assim, é importante iniciar desde logo o projeto de adequação para não correr riscos desnecessários ou ser surpreendido com a imposição de penalidades que poderiam ter sido evitadas.
Renata Ciampi / Ítalo Lima
Equipe de Tecnologia, Propriedade Intelectual e Direito Digital - Motta Fernandes